Mandriva Linux 安全公告:glibc (MDVSA-2014:152)
high Nessus 插件 ID 77040
语言:
简介
远程 Mandriva Linux 主机缺少一个或多个安全更新。描述
更新后的 glibc 程序包修复了安全问题:Stephane Chazelas 发现 glibc 中的区域设置处理存在目录遍历问题。glibc 接受在 LC_* 和 LANG 变量中含有 .. 组件的相对路径。如果攻击者的权限足以访问主机上的文件系统,可在其中创建构建的区域设置定义,那么只要他们结合典型 OpenSSH 配置(在 sshd_config 中包含适当的 AcceptEnv 设置),就一定能够利用此漏洞绕过 ForceCommand 限制(或限制的 Shell) (CVE-2014-0475)。
David Reid、Glyph Lefkowitz 和 Alex Gaynor 发现一个缺陷,即 posix_spawn_file_actions_addopen 无法复制路径参数 (glibc bz #17048),这可能与应用程序的许多常用内存管理技术一起导致释放后使用或其他漏洞 (CVE-2014-4043)。
解决方案
更新受影响的数据包。另见
插件详情
严重性: High
ID: 77040
文件名: mandriva_MDVSA-2014-152.nasl
版本: 1.7
类型: local
发布时间: 2014/8/7
最近更新时间: 2021/1/6
支持的传感器: Nessus
风险信息
VPR
风险因素: Medium
分数: 6.7
CVSS v2
风险因素: High
基本分数: 7.5
时间分数: 5.5
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
漏洞信息
CPE: p-cpe:/a:mandriva:linux:glibc, p-cpe:/a:mandriva:linux:glibc-devel, p-cpe:/a:mandriva:linux:glibc-doc, p-cpe:/a:mandriva:linux:glibc-doc-pdf, p-cpe:/a:mandriva:linux:glibc-i18ndata, p-cpe:/a:mandriva:linux:glibc-profile, p-cpe:/a:mandriva:linux:glibc-static-devel, p-cpe:/a:mandriva:linux:glibc-utils, p-cpe:/a:mandriva:linux:nscd, cpe:/o:mandriva:business_server:1
必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/Mandrake/release, Host/Mandrake/rpm-list
易利用性: No known exploits are available
补丁发布日期: 2014/8/6
参考资料信息
CVE: CVE-2014-0475, CVE-2014-4043
MDVSA: 2014:152